Ist es sicherer Nextcloud in einer Virtual Machine oder Docker zu installieren?

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
903
Punkte für Reaktionen
12
Punkte
44
Ich weiss, ich bin hier nur bedingt richtig aber ich bin echt verunsichert/ratlos und für Meinungen dankbar: ist es besser/sicherer Nextcloud in einer Virtual Machine (Gast: Ubuntu Linux) zu installieren?

Seit Jahren nutze ich ownCloud auf einer DS209 um meine Kalender und Adressbücher zwischen Linux PC und Laptop sowie Android Telefon zu synchronisieren (CalDAV und CardDAV). Dazu habe ich im Router (nicht in der DS) Dynamic DNS mit noip.com (nicht mit Synologys QuickConnect) und Portweiterleitungen eingerichtet. Nun habe ich eine DS420+ mit DSM 7 und will mit Nextcloud gleiches tun, nur wie? Grundsätzlich könnte ich auf die Synchronisation von Kalendern und Adressbüchern über Internet verzichten aber da ich auch unterwegs Mails empfangen und senden können möchte (Synology Mail Server und Mail Station will ich auch installieren), werde ich Dynamic DNS dennoch brauchen - kann ich dann auch auf die Virtualisierung von Nextcloud verzichten?

Ehrlich gesagt habe ich von Visualisierung wenig Ahnung. Ich nutze bis jetzt VirtualBox nur, um mit dem PC alte Windows 98 Software zu nutzen. Funktioniert der Virtual Machine Manager von Synology ähnlich?

Oder sollte ich Docker nutzen? Davon habe ich noch gar keine Ahnung.

Hinweise, wie ich die Sicherheit verbessern kann ohne offline zu gehen, sind mir immer willkommen!
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Seit Jahren nutze ich ownCloud auf einer DS209
In welcher Form ist denn ownCloud installiert?
Welches Sicherheitsrisiko siehst du wenn man die Nextcloud als Instanz auf dem Synology Web Server betreibt?
Welchen Vorteil versprichst du dir die Nextcloud Instanz über docker laufen zu lassen?
 

abrocksi

Benutzer
Mitglied seit
27. Dez 2013
Beiträge
250
Punkte für Reaktionen
81
Punkte
28
Da sehe ich als langjähriger Nextcloud Fan gar kein Risiko. Beide Varianten (nativ als Webservice oder virtualisiert im Docker) haben ihre Vor- und Nachteile in Bezug suf Performance oder Wartbarkeit. Aber das Thema Sicherheit ist bei beiden Betriebsmodellen gleichwertig.

cheers,
abrocksi
 
  • Like
Reaktionen: Tuxnet

mamema

Benutzer
Mitglied seit
23. Okt 2009
Beiträge
667
Punkte für Reaktionen
132
Punkte
63
Aber das Thema Sicherheit ist bei beiden Betriebsmodellen gleichwertig.
Yein.
Wenn man via docker build local immer auf neueste OS Releasestände aktualisiert, dann eher Ja.
Wenn man aber ein fertiges Image aus dem Docker Hunb nimmt, dann ist man abhängig davon, dass der Ersteller die OS Aktualisierung zeitnah vornimmt. Dann eher Nein
Bei einer VM hat man diesen Vorgang 100% selbst in der Hand
 
  • Like
Reaktionen: Tuxnet und abrocksi

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.148
Punkte für Reaktionen
736
Punkte
154
Wobei man jetzt im Speziellen bei Nextcloud sagen kann, dass das Docker-Image auch sehr schnell nachgezogen wird.

Also bei meinen Erfahrungen nach sogar innerhalb eines Tages...
 
  • Like
Reaktionen: abrocksi

wired2051

Benutzer
Mitglied seit
17. Mrz 2010
Beiträge
903
Punkte für Reaktionen
12
Punkte
44
In welcher Form ist denn ownCloud installiert?

Bisher auf der DS209: Webstation, HTTPS-Dienste und MySQL aktiviert. Dann setup-owncloud.php hochgeladen und installiert.

Welches Sicherheitsrisiko siehst du wenn man die Nextcloud als Instanz auf dem Synology Web Server betreibt?
Welchen Vorteil versprichst du dir die Nextcloud Instanz über docker laufen zu lassen?

Ich frage hier, weil ich selber wenig Ahnung habe.

Aber von aussen erreichbar sein ist doch immer ein Risiko. Daher frage ich mich, ob ich Nextcloud durch Virtualisierung schützen kann. Von Docker habe ich keine Ahnung.

@abrocksi @mamema @Adama Danke für Eure Einschätzungen.

Ein Docker ist also in etwa wie eine Virtualisierung einer vorinstallierter Software? Klingt für mich nach der einfacheren Lösung. Ist sie auch performanter im Alltag? Und wie Ist es mit den Updates von Nextcloud im Docker-Image?

Dynamic DNS seht Ihr nicht als vermeidbares Risiko an?

Könnt Ihr mir eine (deutschsprachige) Anleitung für die Installation eines Nextcloud-Dockers unter DSM 7 empfehlen? Bei dem Thema Docker bin ich Dummy.
 

Sisphosloughs

Benutzer
Mitglied seit
17. Sep 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Interessant! Ich stehe gerade vor der selben Frage.
M.E. gehen sollte bei Betrachtung des Sicherheitsaspekts auch das OS von Synology einzubeziehen. In der Hinsicht bin ich etwas hellhörig über die Veröffentlichung einer OpenSSL-Lücke von QNAP und Synology bei Heise geworden. Der Artikel ist vom 01.09. Stand heute (17.09.) gibt es nur einen Patch für die VPN- Software von Synology. Das kommt mir etwas zu langsam vor. Natürlich kann es auch Sicherheitslücken bei der Virtualisierungssoftware geben. Aber nach allem was ich so lese, ist eine VM stärker vom Host isoliert, als ein Container (siehe z.B. hier). D.h. dass der Weg für den Angreifer wenigstens etwas länger ist.

Darum tendiere ich zu einer VM. Aktuell denke ich darüber nach, Docker in der VM einzurichten, damit die Migration beim Releasewechsel des Betriebsystems etwas geschmeidiger geht. Mir ist aber auch klar, dass das gegenüber einer reinen Dockerlösung auf dem NAS-OS mehr Ressourcen in Anspruch nimmt.
 

mamema

Benutzer
Mitglied seit
23. Okt 2009
Beiträge
667
Punkte für Reaktionen
132
Punkte
63
nunja, das Openssl Problem ist das übliche Problem von Synology und QNAP Paketen. Wer diese einsetzt, akzeptiert das er/sie veraltete Releases einsetzt. Deswegen eben VM und Docker. Muss keine VM sein. Auch via Docker geht Openssl. Da das Docker Paket ja ebenfalls hinterherhinkt, schliesst sich da der Kreis. Denke ist aber beim VMM (KVM) auch nicht besser.
 

Sisphosloughs

Benutzer
Mitglied seit
17. Sep 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
@mamema ich stecke noch nicht so tief in der Synology-Welt drinnen. Verstehe ich es richtig, dass der sicherste Weg ist, Apps auf der Synology am besten gar nichts ins Intern zu hängen? Weder per VM noch Docker? Und wenn dann nur per VPN (aber nicht dem Synology-VPN).
Oder gibt es einen Weg, besser gewartete Pakete auf die Synology zu bringen?
 

mamema

Benutzer
Mitglied seit
23. Okt 2009
Beiträge
667
Punkte für Reaktionen
132
Punkte
63
Was ich meinte ist: Die nativen Pakete hängen IMMER hinter dem aktuellen Releasestand hinterher. D.h. wenn Du via Docker oder VM via Eigeninitiative für aktuellere Releasestände sorgst, bist Du definitiv sicherer unterwegs. Es bleibt das Restrisiko, dass Du auf gewisse Synology Pakete angewiesen bleibst. VMM z.B.
 
  • Like
Reaktionen: Sisphosloughs

Sisphosloughs

Benutzer
Mitglied seit
17. Sep 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
@mamema Danke, das habe ich gedacht/befürchtet! Ich denke, wenn schon Zugriff aus dem Internet, dann per VPN (nicht über das Synology-VPN).
 

mamema

Benutzer
Mitglied seit
23. Okt 2009
Beiträge
667
Punkte für Reaktionen
132
Punkte
63
@mamema Danke, das habe ich gedacht/befürchtet! Ich denke, wenn schon Zugriff aus dem Internet, dann per VPN (nicht über das Synology-VPN).
VPN sollte nicht auf der Synology laufen, weil die Synology nicht direkt im Internet hängen sollte. Es sollte eine Firewall vor der Syno stehen auf der sollte VPN laufen.
Jetzt habe ich in zwei Zeilen vier mal sollte. Sollte damit genügend klar sein. :)
 
  • Like
Reaktionen: Tuxnet

Sisphosloughs

Benutzer
Mitglied seit
17. Sep 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
@mamema: So habe ich es auch gerade eingerichtet und mich von der Idee eines Nextcloud auf dem NAS verabschiedet.

Zurück zum Thema: "Sicher" -- und das Wort kam ja im Thread vor. Ich habe gerade von einem Bekannten erfahren, dass er sich wohl über die Portfreigabe der Synology einen Verschlüsselungstrojaner gefangen hat, der sich sogar auf seinem Ubuntu-Notebook breit gemacht hat. Wahrscheinlich ist da eine Nextcloud über Docker oder VM besser, aber auch das ist mir persönlich zu heiß. Letztendlich muss das aber jeder für sich bewerten. Hängt auch davon ab, was man mit den Daten machen will, wie durchdacht die Backup-Strategie ist, usw...
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Mein (durch diverses Leid erfahrener) Kenntnis- bzw. Meinungsstand: Nativ in die VM und als Host keine NAS nutzen (Daten können da natürlich liegen), also VBox, Proxmox, o.ä. nutzen.
Kurzes Warum: Synology hat es nicht hinbekommen, die Virtualisierung sicher, stabil und performant umzusetzen; jegliche Intel-Modelle sind daher aus Gründen der Virtualisierung obsolet und das gesparte Geld geht in passende Virtualisierungs-HW.
 

Sisphosloughs

Benutzer
Mitglied seit
17. Sep 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Mein (durch diverses Leid erfahrener) Kenntnis- bzw. Meinungsstand: Nativ in die VM und als Host keine NAS nutzen (Daten können da natürlich liegen), also VBox, Proxmox, o.ä. nutzen.
Kurzes Warum: Synology hat es nicht hinbekommen, die Virtualisierung sicher, stabil und performant umzusetzen; jegliche Intel-Modelle sind daher aus Gründen der Virtualisierung obsolet und das gesparte Geld geht in passende Virtualisierungs-HW.
Ich weiß nicht wie es dem TO geht, aber ich sehe das auch so.

@whitbread Was würdest Du als VM-Hardware für Heimuser empfehlen, die z.B. via Nexcloud neben Links für Dateifreigaben auch Kalender, Aufgaben und Kontakte über das Internet bereitstellen möchten? In meinem Fall geht es neben Nexcloud auch um Photos, die ich Familie, Freunden und gelegentlich auch Kunden bereitstellen will. Reicht ein Rasperry Pi oder sollte es eher ein Nuc sein?
 

CoffeeJunk

Benutzer
Contributor
Mitglied seit
06. Nov 2013
Beiträge
97
Punkte für Reaktionen
15
Punkte
8
Hmm,

wie wäre es mit Virtual DSM? Diese dann in ein eigenes Netzwerk verfrachten?

In der Virtuellen DSM alles betreiben was von außen erreichbar sein soll....

Oder gibt es da bedenken?
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Ich habe Virtualisierung mit der NAS kpl. abgeschrieben. Die bezahlbahren Synos, die das können, reichen nicht und die anderen sind einfach zu teuer. Ausserdem habe ich leidvoll erfahren müssen, dass die Stabilität mit Virtualisierung auf der NAS brutal leidet, vor allem in Kombination mit VLANs. Wer schon eine Intel-NAS sein Eigen nennt, ist da ein wenig gekniffen; wer neu anschafft spart die Differenz und kauft sich was Passendes für die Virtualisierung.
Damit sind wir dann beim Thema Hardware - Ich vermute ich mit Ratschlägen nicht unbedingt der Beste. Ich persönlich bin kein Fan von Raspis, habe daher noch nie einen gehabt. Ich vermute, Du wirst mit einem Mini-PC à la Nuc (gibt da auch Alternativen) glücklicher. Bei mir steht ein Esprimo e720 mit 16GB und i3-Prozessor, denke aber über 32GB nach, da der RAM bei mir bereits ausgelastet ist. Bei mir laufen dort aktuell Sophos UTM, ioBroker, PiHole, Offloader und 2xSynology. Den Stromverbrauch hatte ich zunächst nicht im Fokus; ich wollte nach diversen Problemen erstmal Ruhe und das Ziel habe ich vollends erreicht.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat